Как установить и настроить pfSense на ПК

Некоторые могут сказать, что это даже не прокси-сервер, однако, по мнению многих специалистов, имевших опыт работы с платформой, – это кое-что более значительное. И они будут правы, ведь pfSense фактически представляет собой не что иное, как дистрибутив на базе «FreeBSD», у которого открыт исходный код. При этом он может успешно выполнять функции брандмауэра и распределять трафик клиентам.

К неоспоримому преимуществу следует еще отнести и интуитивно понятный веб-конфигуратор, невероятную гибкость настроек и содержание большого количества функций, которые значительно увеличивают применимость платформы без риска появления слабых мест в защите системы. И это без наращивания ее объема.

Основные преимущества и функции

Не редки ситуации, когда финансов хватает лишь на оборудование и комплектующие, а систему требуется в кратчайшие сроки обеспечить высокой функциональностью и без дополнительных вложений в программное обеспечение.

В качестве оптимального решения для выхода из подобной ситуации уже привычно выступает «Pfsense». Этот сетевой экран на основе «FreeBSD» абсолютно бесплатен и прост в эксплуатации.

Так как каждый желающий ознакомиться с полным перечнем выдающихся способностей этого ПО всегда может посетить источник его разработчика по адресу «www.pfsense.org», то здесь перечислим только основные его функции:

1. Обеспечение безопасности (фаерволл);
2. Простой веб-конфигуратор, доступный для работы посредством браузера;
3. Мастер установки;
4. Функция маршрутизации данных через вайфай;
5. NAT (трансляция адресов);
6. Удобная корректировка файлов через веб-конфигуратор;
7. Регулировка трафика между группами в одной локальной сети;
8. Создание резервных копий для восстановления конфигурации из меню настроек;
9. Указание отдельной полосы для конкретного вида трафика;
10. Прокси-сервер;
11. VPN — PPTP, OpenVPN, IPsec;
12. PPPoE-сервер;
13. Динамический DNS;
14. Наглядное изображение нагрузок;
15. Возможность настройки через командную строку и многое другое.

Процедура установки

К достоинствам платформы можно отнести и низкую требовательность к аппаратным составляющим. Успешная установка и дальнейшая работа «pfSense» возможна даже на маломощном ПК, самостоятельно собранном из залежалых на складе комплектующих.

В нижеприведенном примере задействован одноядерный компьютер с ОЗУ объемом лишь 512 Mb и винчестером на 80 Gb. На ПК установили, дополнительно к встроенной, еще одну сетевую карту, в результате их стало две.

Предварительные мероприятия

Чтобы сделать возможной инсталляцию платформы, сначала следует исполнить следующие действия:

1. Посетив «www.pfsense.org», загрузить ПО;
2. Далее кликнуть «Установить»;
3. Затем указать параметры ПК, платформу и консоль;
4. Сохранив архив с ПО в памяти компьютера, извлечь из него образ;
5. После этого рекомендуется записать его на USB-носитель (будет достаточно флешки даже объемом 1 Gb) с применением утилиты «RosaImageWriter»;
6. Установить носитель в USB-порт ПК;
7. Запустить компьютер с флешки;
8. Подготовительные мероприятия успешно выполнены, теперь можно приступить к установке.

Этап 1

Первая стадия инсталляции состоит из последовательных шагов:

1. После отображения приветственного меню сразу щелкнуть «Ввод»;
2. Далее клацнуть по «I» (причем как можно быстрее, т. к. время на исполнение дается не более 10 секунд);
3. Выделить пункт «Accept these Settings»;
4. Клацнуть «Ввод»;
5. Отметить строку «Quick/Easy Install»;
6. Вновь кликнуть «Enter»;
7. Щелкнуть «Ok» (здесь следует учесть, что программа установится и при этом удалит все файлы на винчестере. \*Если на нем было сохранено что-то важное, то до нажатия «Ок» еще не поздно все скопировать на другой носитель);*\
8. Затем выбрать «Standard Kernel»;
9. На этом первая стадия заканчивается, и отобразится последнее указание этапа, что надо перезапустить ПК. Для этого просто щелкнуть «Ввод» (внимание: когда компьютер будет в отключенном состоянии, необходимо убрать из USB-порта внешний носитель с программой);

Этап 2

Когда ПК перезапустится, следует исполнить по порядку следующие шаги:

1. В отобразившемся меню с вопросом о настройке «VLAN» кликнуть «n»;
2. Затем нажать «Ввод»;
3. Чтобы указать программе назначение сетевых карт (одну использовать в качестве «WAN», а другую – «LAN»), требуется знать, какой идентификатор присвоен каждой из них. Понадобится отключить от них провода и кликнуть «Ввод»;
4. Далее программа потребует установить кабель «WAN» (при этом должен засветиться диод в разъеме). Если отобразится оповещение «ste0: link state changed to UP», то это означает, что идентификатор Интернет-порта «ste0». Клацнуть «Ввод»;
5. После этого аналогичную процедуру выполнить с LAN;
6. ПО произведет анализ и покажет сведения. Здесь следует согласиться и кликнуть «Ввод»;
7. На мониторе появится меню с информацией о назначениях сетевых карт, DHCP и адресах;
8. Щелкнуть «Ввод».

Заключительный этап

Последняя ступень сводится к таким настройкам:

1. В последнем появившемся меню кликнуть «2»;
2. Клацнуть на «Enter»;
3. Указать «LAN», с этой целью нажать «2»;
4. «Ввод»;
5. Задать «ай-пи». Затем вновь щелкнуть «Enter»;
6. Указать маску;
7. «Ввод»;
8. Далее требуется выполнить настройки шлюза, который будет использоваться для интернет-порта;
9. В случае когда IPv6 не требуется, то можно сразу кликнуть «Ввод»;
10. В следующем экране активировать DHCP, нажав «Y»;
11. «Enter»;
12. Указать диапазон адресов;
13. Снова нажать «Ввод»;
14. В следующем меню кликнуть «n»;
15. «Ввод»;
16. Ура! Отобразился адрес веб-интерфейса;
17. «Enter»;
18. Перезапустить компьютер;
19. Щелкнуть 5 и «Ввод»;
20. Нажать кнопку «Y» и потом снова «Enter»;
21. Готово.

Как настроить?

После успешной инсталляции следует не менее важная стадия настройки платформы pfSense. Потребуется исполнить следующие действия:

1. Запустить веб-обозреватель и пройти по адресу, заданному при инсталляции (в нашем примере «192.168.2.3»);
2. Код доступа и имя для авторизации: «pfsense» и «admin»;
3. Сразу отобразится мастер для помощи ввода параметров, рекомендуется его не использовать, а кликнуть на «pfSense»;
4. После этого отобразится веб-конфигуратор;
5. Открыть закладку «Status»;
6. Далее перейти в раздел «Interfaces»;
7. Затем пересесть за один из ПК в локальной сети и сделать попытку пингования pfSense по «192.168.0.50». По некоторым причинам это будет безуспешно, хотя пока еще даже не установлено ни одного запрещающего правила;
8. Запустить на этом локальном ПК командную строку и задать бесконечный пинг, например, «ping 192.168.0.50 –t». Будут отображаться оповещения: «Превышен интервал ожидания для запроса»;
9. Потом расположить монитор этого ПК так, чтобы было его видно, и перейти к клиенту;
10. Проследовать в раздел «System»;
11. Затем – во вкладку «Advanced»;
12. Открыть «Firewall/NAT»;
13. Установить отметку в графе «Disable Firewall» на пункт «Disable all packet filtering»;
14. Кликнуть «Save»;
15. Обратить внимание на запущенный пинг и убедиться, что он пошел. Это фаерволл не позволял пинговаться. Если установить обратно отметку в вышеуказанном 13-ом пункте инструкции и щелкнуть «Сохранить», то пинги должны исчезнуть;
16. Перейти на вкладку «Status»;
17. Перейти в «System Logs»;
18. Далее – в раздел «Firewall»;
19. Отобразится меню с заблокированными пакетами;
20. Кликнуть на крестик в графе того из них, который соответствует нашему;
21. Отобразится информация, из которой становится понятна причина проблемы;
22. Поискав в интернете пути устранения возникшей сложности по запросу «Block private networks from WAN block 192.168/16», можно быстро выяснить пути выхода из сложившейся ситуации;
23. Переместиться в закладку «Interfaces»;
24. Войти в «WAN»;
25. Далее в «Private networks» убрать отметку с графы «Block private networks»;
26. Кликнуть «Save»;
27. Щелкнуть на «Apply changes»;
28. Если пинг не идет, то вновь войти в раздел «Status»;
29. Затем – в закладку «System Logs»;
30. В «Firewall» кликнуть по крестику у появившегося нового пакета;
31. Щелкнуть «Ok» и в разделе «Firewall» открыть вкладку «Rules»;
32. Далее, перейдя в «WAN», клацнуть на иконку в виде «+» и указать исключение из правил для ICMP-пакетов;
33. Подтвердить твердость своих намерений. Теперь пинг пойдет без проблем;
34. Далее рекомендуется это новое правило подкорректировать, чтобы оно стало более универсальным. Кликнуть «e»;
35. Установить в графах «Sourse» и «ICMP type» значение «any»;
36. В «Destination» выставить «WAN address»;
37. Щелкнуть «Сохранить» и затем «Применить изменения».

Настройка времени

Обычно программа некорректно отображает часы и минуты. В случае если здесь все нормально и время везде правильное, то можно просто пропустить этот раздел и сразу перейти к выполнению следующего.

Необходимо произвести шаги:

1. Открыть «System»;
2. Перейти в раздел «General Setup»;
3. Установить «Hostname»;
4. Прописать свой «Domain»;
5. Определить соответствующую временную зону в разделе «Time zone»;
6. Клацнуть «Сохранить»;
7. Готово. Чтобы удостовериться в точности указываемого времени, можно на вкладке «Status» открыть «Dashboard», где в графе «Current date/time» отображается дата и время.

Пример настройки для L2TP

Если провайдер поддерживает этот тип протокола, то необходимо выполнить следующие действия:

1. Запустить веб-конфигуратор и открыть вкладку «VPN»;
2. Перейти в раздел «L2TP» и активировать его, установив «Enable L2TP server»;
3. Затем в «Server Address» прописать 192.168.33.252 (может отличаться);
4. Указать «Remote Address Range»;
5. Далее для «Subnet Mask» установить «24»;
6. Затем определить максимальное число пользователей, способных соединиться с pfSense в разделе «Number of L2TP Users», например, ввести значение «5»;
7. Установить «CHAP» во вкладке «Authentication Type»;
8. Клацнуть «Сохранить».

Конфигурируем прокси в «пфСенсе»

Чтобы пользователей обеспечить доступом в глобальную сеть, используя proxy-сервер, и контролировать их трафик, потребуется исполнить следующие шаги:

1. Войти в закладку «System»;
2. Затем – в «Packages»;
3. В разделе «Available Packages» установить пакеты «Squid», а также с целью обеспечения возможности контроля за объемом скачиваемого трафика пользователями – «Lightsquid»;
4. Войти в «Services»;
5. Далее открыть вкладку «Proxy server»;
6. Указать «LAN» и установить отметку в графу «Allow users on interface»;
7. Затем – галочки в пункте «Transparent proxy» и «Enable logging»;
8. Рекомендуется не изменять директорию сохранения данных статистики «Log store directory»;
9. В «Log rotate» прописать значение «62»;
10. Щелкнуть «Сохранить».

Создание сервера OpenVPN

С этой целью потребуется настроить CA:

1. Снова войти в закладку «System»;
2. После чего – в «Cert Manager»;
3. Прописать: наименование, размер ключа, алгоритм и время жизни;
4. Далее интегрировать шлюз с Active Directory, для этого в закладке «System» открыть раздел «User Manager» и в «Servers» прописать диапазон поиска, адрес, учетки и т. д. После чего на этом этапе действий уже допускается разрешить юзерам пользоваться всемирной паутиной;

Примечание: чтобы экспортировать параметры «OpenVPN» в машины и девайсы с различными ОС, следует воспользоваться пакетом «OpenVPN Client Export Utility».

1. Далее снова перейти в раздел «Cert Manager»;
2. Здесь для всех клиентов и для сервера «VPN» создать сертификат;
3. Установить режим «Remote Access (SSL/TLS + User Auth)»;
4. Указать порт, сертификат, сервер аутентификации и требуемые настройки для шифрования Можете, конечно, здесь оставить все как есть, но рекомендуется самостоятельно выставить оптимальные настройки;
5. После этого можно указать, следует ли выдавать клиенту DNS, и т. п.;
6. Кликнуть «Save»;
7. Войти в закладку «client export» и отправить настройки.

Заключение

Если проявить терпение и усидчивость, то интерфейс покажется удобным и не вызовет особых сложностей при настройке.

Но если нет достаточного опыта работы с параметрами сетей, то рекомендуется использовать встроенный в платформу специальный помощник «Wizard» (мастер быстрой настройки).

Он послужит отличным подспорьем для начинающих администраторов систем, следует просто внимательно исполнять его требования и рекомендации.